- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-用户隔离命令
本章节下载: 19-用户隔离命令 (257.36 KB)
目 录
1.1.1 display user-isolation statistics
1.1.2 display wlan client ipv4-snooping learned-mac
1.1.3 reset user-isolation statistics
1.1.5 user-isolation permit-broadcast
1.1.6 user-isolation vlan enable
1.1.7 user-isolation vlan permit-bmc acl
1.1.8 user-isolation vlan permit-mac
1.1.9 wlan user-isolation permit-broadcast
1.1.10 wlan user-isolation vlan enable
1.1.11 wlan user-isolation vlan permit-mac
display user-isolation statistics命令用来显示基于VLAN的用户隔离统计信息。
【命令】
display user-isolation statistics [ vlan vlan-id ]
display user-isolation statistics [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vlan vlan-id:显示指定VLAN的用户隔离统计信息,vlan-id为VLAN编号,取值范围为1~4094。如果未指定该参数,则显示所有VLAN的用户隔离统计信息。
slot slot-number:显示指定成员设备上基于VLAN的用户隔离统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上基于VLAN的用户隔离统计信息。
【举例】
# 显示所有VLAN的用户隔离统计信息。
<Sysname> display user-isolation statistics
Number of VLANs enabled with user isolation: 2
Number of VLANs disabled with user isolation: 1
VLAN Status Drops Permit-Unicast Permit IPv4|IPv6 Acl Permitted MACs Address Type Address Source
4 Enabled 0 Y 3001|3002 N/A
N/A N/A
6 Disabled 0 N 3001|3002 0023-89a2-3d4d
DHCP Server Learn
5 Enabled 0 Y N/A|N/A N/A
Gateway|DHCP Server Set|Learn
表1-1 display user-isolation statistics命令显示信息描述表
|
Number of VLANs disabled with user isolation |
未开启用户隔离功能的VLAN的数量 |
|
VLAN |
开启用户隔离的VLAN ID |
|
State |
· Enabled:开启状态 · Disabled:关闭状态 |
|
该VLAN内丢弃的报文数 |
|
|
Permit-Unicast |
该VLAN内是否允许单播报文通过: · Y:允许单播通过,仅隔离广播/组播 · N:隔离单播/广播/组播 |
|
Permit IPv4|IPv6 Acl |
该VLAN允许的IPv4 ACL和IPv6 ACL |
|
Permitted MACs |
该VLAN允许的MAC地址列表 |
|
Address Type |
自动学习的MAC地址类型 · Gateway:网关的MAC地址 · DHCP Server:DHCP服务器的MAC地址 |
|
Address Source |
MAC地址的来源 · Set:手工配置MAC地址 · Learn:自动学习MAC地址 |
【相关命令】
· user-isolation vlan enable
· user-isolation vlan permit-mac
display wlan client ipv4-snooping learned-mac命令用来显示VLAN的MAC地址自动学习列表及其历史数据。
【命令】
display wlan client ipv4-snooping learned-mac { vlan vlan-id | all } [ history ]
display wlan client ipv4-snooping learned-mac { vlan vlan-id | all } [ slot slot-number ] [ history ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vlan vlan-id:显示指定VLAN的MAC地址自动学习列表,vlan-id为VLAN编号,取值范围为1~4094。
all:显示所有VLAN下的MAC地址自动学习列表。
history:显示VLAN下的MAC地址自动学习列表历史数据。
slot slot-number:显示指定成员设备上VLAN的MAC地址自动学习列表及其历史数据,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上VLAN的MAC地址自动学习列表及其历史数据。
【举例】
# 显示所有VLAN自动学习到的MAC地址列表。
<Sysname> display wlan client ipv4-snooping learned-mac all
VLAN Learned MACs Address Type
6 0023-89a2-3d4d Gateway
10 0023-89a2-5a6a DHCP Server
20 0023-89a2-8a9a Gateway | DHCP Server
# 显示所有VLAN自动学习到的MAC地址列表历史数据。
<Sysname> display wlan client ipv4-snooping learned-mac all history
History data for VLAN 6:
Learned MACs Address Type Time
0023-89a2-3d4d Gateway 2024-03-02/09:33:24
0023-89a2-3d4a Gateway 2024-03-02/09:20:24
----------------------------------------------------------
History data for VLAN 10:
Learned MACs Address Type Time
0023-89a2-5a6a DHCP Server 2024-03-02/09:33:25
0023-89a2-5a6b DHCP Server 2024-03-02/09:10:24
0023-89a2-5a6c DHCP Server 2024-03-02/09:05:24
----------------------------------------------------------
History data for VLAN 20:
Learned MACs Address Type Time
0023-89a2-8a9a Gateway 2024-03-02/09:33:26
0023-89a2-8a9a DHCP Server 2024-03-02/09:33:24
0023-89a2-5a6c DHCP Server 2024-03-02/09:05:24
表1-2 display wlan client ipv4-snooping learned-mac命令显示信息描述表
|
字段 |
描述 |
|
VLAN |
自动学习到MAC地址的VLAN ID |
|
Learned MACs |
该VLAN自动学习到MAC地址列表 |
|
Address Type |
该VLAN自动学习到MAC地址的类型 · Gateway:网关的MAC地址 · DHCP Server:DHCP服务器的MAC地址 |
|
Time |
该VLAN自动学习到MAC地址的时间 |
reset user-isolation statistics命令用来清除基于VLAN的用户隔离统计信息。
【命令】
reset user-isolation statistics [ vlan vlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
vlan vlan-id:清除指定VLAN内的用户隔离统计信息,vlan-id为VLAN编号,取值范围为1~4094。如果未指定该参数,则清除所有VLAN的用户隔离统计信息。
【举例】
# 清除VLAN 1的用户隔离统计信息。
<Sysname> reset user-isolation statistics vlan 1
【相关命令】
· user-isolation vlan enable
· user-isolation vlan permit-mac
user-isolation enable命令用来开启基于SSID的用户隔离功能。
undo user-isolation enable命令用来关闭基于SSID的用户隔离功能。
【命令】
user-isolation enable
undo user-isolation enable
【缺省情况】
基于SSID的用户隔离功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【举例】
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] user-isolation enable
user-isolation permit-broadcast命令用来允许接收有线用户发送给无线用户的广播和组播报文。
undo user-isolation permit-broadcast命令用来恢复缺省情况。
【命令】
user-isolation permit-broadcast
undo user-isolation permit-broadcast
【缺省情况】
隔离有线用户发往无线用户的广播和组播报文。
【视图】
系统视图
配置模板视图
【缺省用户角色】
network-admin
【使用指导】
当有线用户和无线用户属于同一VLAN时必须隔离有线用户发往无线用户的广播和组播报文,其他情况下允许接收有线用户发送给无线用户的广播和组播报文。
【举例】
# 配置允许接收有线用户发送给无线用户的广播和组播报文。
[Sysname] user-isolation permit-broadcast
# 创建名称为p1的配置模板,并在该配置模板下配置允许接收有线用户发送给无线用户的广播和组播报文。
<Sysname> system-view
[Sysname] configuration profile p1 model WA6320
[Sysname-config-profile-p1] user-isolation permit-broadcast
【相关命令】
· user-isolation vlan enable
user-isolation vlan enable命令用来开启指定VLAN的用户隔离功能。
undo user-isolation vlan enable命令用来关闭指定VLAN的用户隔离功能。
【命令】
user-isolation vlan vlan-list enable [ permit-unicast ]
undo user-isolation vlan vlan-list enable
【缺省情况】
基于VLAN的用户隔离功能处于关闭状态。
【视图】
系统视图
配置模板视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表,表示开启用户隔离功能的VLAN的范围。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
permit-unicast:表示不隔离单播,仅隔离广播和组播。如果未指定该参数,表示同时隔离单播、广播和组播。
【使用指导】
为了避免在指定VLAN上开启用户隔离功能后,出现断网情况,用户必须根据user-isolation vlan permit-mac命令先将用户网关的MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。
如果多次执行user-isolation vlan enable命令,则开启用户隔离功能的VLAN是多次配置中指定的VLAN的合集;若同一VLAN多次配置,则最后一条配置生效。
配置模板视图下最多只能开启64个VLAN的用户隔离功能。
【举例】
# 在VLAN 1上开启用户隔离功能。
[Sysname] user-isolation vlan 1 enable
# 创建名称为p1的配置模板,并在该配置模板下开启VLAN 1的用户隔离功能。
<Sysname> system-view
[Sysname] configuration profile p1 model WA6320
[Sysname-config-profile-p1] user-isolation vlan 1 enable
user-isolation vlan permit-bmc acl命令用来允许指定VLAN内的无线用户接收广播和组播报文。
undo user-isolation vlan permit-bmc acl命令用来取消允许指定VLAN内的无线用户接收广播和组播报文。
【命令】
user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number
undo user-isolation vlan vlan-list permit-bmc acl [ ipv6 ]
【缺省情况】
同一VLAN内的无线用户不能接收广播和组播报文。
【视图】
系统视图
配置模板视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list={ vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id1的取值范围为1~4094,vlan-id2的值要大于或者等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
ipv6:指定ACL类型为IPv6类型,若不指定本参数,则表示指定ACL类型为IPv4类型。
acl-number:指定ACL的编号,取值范围3000~3999。
【使用指导】
当有线用户和无线用户属于同一VLAN时,若需要允许无线用户接收有线用户或者无线用户发送的广播和组播报文(例如Bonjour应用),则需要配置本功能,允许指定协议的报文通过。
可以同时配置IPv4和IPv6类型的ACL。对于同一类型的ACL,多次执行本命令,最后一次执行的命令生效。
在分层AC组网中,若仅在Central AC上执行本命令,则仅对Central AC生效,配置不会被下发到Local AC上。
配置模板视图下最多只能允许64个VLAN内的无线用户接收广播和组播报文。
【举例】
# 配置允许VLAN 1中的无线用户接收广播和组播报文ACL规则为3002。
<Sysname> system-view
[Sysname] user-isolation vlan 1 permit-bmc acl 3002
# 创建名称为p1的配置模板,并在该配置模板下配置允许VLAN 1中的无线用户接收广播和组播报文的ACL规则为3002。
<Sysname> system-view
[Sysname] configuration profile p1 model WA6320
[Sysname-config-profile-p1] user-isolation vlan 1 permit-bmc acl 3002
user-isolation vlan permit-mac命令用来配置指定VLAN的MAC地址允许转发列表。
undo user-isolation permit-mac命令用来删除指定VLAN的MAC地址允许转发列表。
【命令】
user-isolation vlan vlan-list permit-mac { mac-list | auto }
undo user-isolation vlan vlan-list permit-mac { mac-list | all | auto }
【缺省情况】
未配置指定VLAN的MAC地址允许转发列表。
【视图】
系统视图
配置模板视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
mac-list:指定MAC地址允许转发列表,MAC地址格式为H-H-H。
auto:自动放通学习到的网关或DHCP服务器MAC地址。
all:删除指定VLAN中所有手动配置的MAC地址,不包括自动学习的地址。
【使用指导】
配置指定VLAN的MAC地址允许转发列表,当在该VLAN内开启用户隔离功能后,所配置的MAC地址不会被隔离。设备可以正常转发该VLAN内所有用户发送的单播/组播/广播报文或接收其他用户向该用户发送的单播报文。
本功能支持通过以下两种方式放通MAC地址:
· 配置mac-list参数,手工指定MAC地址允许转发列表。当指定MAC地址发生改变后,需要手工对MAC地址允许转发列表进行更新。
· 配置auto功能,自动放通学习到的网关或DHCP服务器MAC地址。本功能需在配置client ipv4-snooping dhcp-learning enable和client ipv4-snooping arp-learning enable的前提下才能生效。当网关或DHCP服务器MAC地址发生改变后(例如:部分网关设备重启后),系统将自动放通学习到的网关或DHCP服务器MAC地址。在本地转发场景下,建议配置本功能以减少手工向AP下发MAP文件的操作。
在开启指定VLAN的用户隔离功能前,请务必将指定VLAN用户的网关MAC地址加入到允许转发列表中。
如果多次执行user-isolation vlan vlan-list permit-mac mac-list命令,则指定VLAN允许的MAC地址为多次配置的MAC地址的集合。
在系统视图下,每一个VLAN内最多允许配置64个允许的MAC地址,一次最多能够配置16个允许的MAC地址,该MAC地址不允许为广播或组播地址。
在配置模板视图下,最多只能配置64个VLAN的MAC地址允许转发列表,每一个VLAN内最多允许配置16个允许的MAC地址,该MAC地址不允许为广播或组播地址。
【举例】
# 配置VLAN 1所允许MAC地址为00bb-ccdd-eeff和0022-3344-5566。
[Sysname] user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566
# 创建名称为p1的配置模板,并在该配置模板下配置VLAN 1所允许的MAC地址为00bb-ccdd-eeff和0022-3344-5566。
<Sysname> system-view
[Sysname] configuration profile p1 model WA6320
[Sysname-config-profile-p1] user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566
【相关命令】
· display user-isolation statistics
· user-isolation vlan enable
本命令的支持情况与AP的型号有关,请以设备的实际情况为准。
wlan user-isolation permit-broadcast命令用来允许接收有线用户发送给无线用户的广播和组播报文。
undo wlan user-isolation permit-broadcast命令用来恢复缺省情况。
【命令】
wlan user-isolation permit-broadcast
undo wlan user-isolation permit-broadcast
【缺省情况】
隔离有线用户发往无线用户的广播和组播报文。
【视图】
AP组视图
【缺省用户角色】
network-admin
【使用指导】
当有线用户和无线用户属于同一VLAN或用户接入的AC设备工作于IRF环境时必须隔离有线用户发往无线用户的广播和组播报文,其他情况下允许接收有线用户发送给无线用户的广播和组播报文。
本功能仅适用于本地转发应用场景。
【举例】
# 在default-group组下配置允许接收有线用户发送给无线用户的广播和组播报文。
<Sysname> system-view
[Sysname] wlan ap-group default-group
[Sysname-wlan-ap-group-default-group] wlan user-isolation permit-broadcast
【相关命令】
· wlan user-isolation vlan enable
本命令的支持情况与AP的型号有关,请以设备的实际情况为准。
wlan user-isolation vlan enable命令用来开启指定VLAN的用户隔离功能。
undo wlan user-isolation vlan enable命令用来关闭指定VLAN的用户隔离功能。
【命令】
wlan user-isolation vlan vlan-list enable [ permit-unicast ]
undo wlan user-isolation vlan vlan-list enable
【缺省情况】
基于VLAN的用户隔离功能处于关闭状态。
【视图】
AP组视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表,表示开启用户隔离功能的VLAN的范围。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
permit-unicast:表示不隔离单播,仅隔离广播和组播。如果未指定该参数,表示同时隔离单播、广播和组播。
【使用指导】
为了避免在指定VLAN上开启用户隔离功能后,出现断网情况,用户必须根据wlan user-isolation vlan permit-mac命令先将用户网关的MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。
本功能仅适用于本地转发应用场景。
如果多次执行wlan user-isolation vlan enable命令,则开启用户隔离功能的VLAN是多次配置中指定的VLAN的合集;若同一VLAN多次配置,则最后一条配置生效。
最多可指定256个VLAN,在同一视图下的所有基于VLAN的用户隔离命令,共同计算VLAN数量(例如wlan user-isolation vlan enable与wlan user-isolation vlan permit-mac命令)。
【举例】
# 在default-group组下开启VLAN 1的用户隔离功能。
<Sysname> system-view
[Sysname] wlan ap-group default-group
[Sysname-wlan-ap-group-default-group] wlan user-isolation vlan 1 enable
【相关命令】
· wlan user-isolation vlan permit-mac
本命令的支持情况与AP的型号有关,请以设备的实际情况为准。
wlan user-isolation vlan permit-mac命令用来配置指定VLAN的MAC地址允许转发列表。
undo wlan user-isolation vlan permit-mac命令用来删除指定VLAN的MAC地址允许转发列表。
【命令】
wlan user-isolation vlan vlan-list permit-mac mac-list
undo wlan user-isolation vlan vlan-list permit-mac { mac-list | all }
【缺省情况】
未配置指定VLAN的MAC地址允许转发列表。
【视图】
AP组视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
mac-list:MAC地址允许转发列表,MAC地址格式为H-H-H,该MAC地址不允许为广播或组播地址。最多可以为一个VLAN配置16个允许的MAC地址。
all:删除指定VLAN的所有允许MAC地址。
【使用指导】
配置指定VLAN的MAC地址允许转发列表,当在该VLAN内开启用户隔离功能后,所配置的MAC地址不会被隔离。
本功能仅适用于本地转发应用场景。
如果多次执行wlan user-isolation vlan permit-mac命令,则指定VLAN允许的MAC地址为多次配置的MAC地址的集合。
每次配置最多能够配置16个允许的MAC地址。
【举例】
# 在default-group组下配置VLAN 1所允许MAC地址为00bb-ccdd-eeff和0022-3344-5566。
<Sysname> system-view
[Sysname] wlan ap-group default-group
[Sysname-wlan-ap-group-default-group] wlan user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566
【相关命令】
· wlan user-isolation vlan enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
